Безопасность и качество



Cisco Systems - признанный лидер мирового рынка информационной безопасности. На исследования и разработки в этой области компания ежегодно расходует примерно 10% всех средств, ассигнуемых на НИОКР. Сейчас эта цифра составляет около 300 млн долларов в год, что превышает годовой оборот многих зарубежных компаний, работающих на рынке информационной безопасности. Такой подход позволяет Cisco Systems лидировать практически во всех сегментах рынка средств защиты информации, где представлены решения Cisco®. Джефф Плейтон (Jeff Platon), вице-президент Cisco Systems по маркетингу средств безопасности, рассуждает о важности применения концепции «тотального управления качеством» в области сетевой безопасности


Концепция "тотального управления качеством" (Total Quality Management, TQM) не является чем-то новым. Организации всех типов и размеров давно пользуются принципами TQM для непрерывного совершенствования самых разных процессов от розничной торговли и научных исследований до производства и логистики. Но лишь сегодня эти принципы стали впервые применяться в новой важной области – в области сетевой безопасности.

Процедуры безопасности часто распространяются на все предприятие и оказывают непосредственное влияние на отношения с заказчиками, поставщиками и партнерами. Практически все современные организации подключены к сетям и подвержены угрозам, рискам и другим неприятностям, связанным с противоречиями и несовместимостями между правилами безопасности, установленными в самой организации и у ее соседей.

Управление безопасностью должно решать две трудные задачи. Первая из них связана с оценкой эффективности существующих правил и процедур. Вторая задача - сопоставление существующей реальности с требованиями и ожиданиями бизнеса. К сожалению, в большинстве случаев анализ безопасности базируется либо на традиционных экспертных оценках, выполненных небольшими группами специалистов, либо на данных, собранных специализированными системами. В обоих случаях компания оценивает эффективность отдельных, не связанных между собой элементов системы безопасности (правил работы с паролями, функций межсетевых экранов и т.д.) или анализирует изолированные параметры - например, среднее время наработки на отказ. При отсутствии целостного подхода компания зачастую упускает из виду общие правила безопасности, в частности, не учитывает отношение пользователей к этим правилам.

В результате компании с большим трудом справляются с задачами оценки стратегии безопасности и поиска брешей в системах защиты. Некомпетентность источников информации и неточность данных приводят к неверным выводам и решениям, порождают самоуверенность, более того – приводят к взломам сетей, которые вынуждают компанию полностью прекратить деловые операции.

Сотрудники школы менеджмента Массачусетского технологического института (MIT Sloan School of Management) Стюарт Мэдник (Stuart Madnick) и Майкл Сигел (Michael Siegel) разработали простое средство, которое помогает компаниям понять и измерить отношение своих работников и менеджеров к вопросам безопасности. Это средство использует принципы TQM и отличается систематическим научным подходом. "Тотальное управление качеством" (TQM) представляет собой сочетание систем оценки качества и систем управления, побуждающих рядовых работников и сотрудников управленческого звена непрерывно оптимизировать деловые процессы. Культура TQM требует от организации с самого начала выполнять все задачи наилучшим образом и постоянно их совершенствовать. Мэдник и Сигел определили около 300 проблем безопасности, охватывающих три принципиально важные области: обеспечение доступности, минимизация уязвимости и гарантии конфиденциальности. Специалисты по безопасности говорят о том же самом в несколько иных терминах (доступность, целостность, конфиденциальность).

Три важнейших области безопасности требуют конкретных действий по пяти направлениям:

  • выделение технологических ресурсов для безопасности;
  • выделение финансовых ресурсов для безопасности;
  • разработка бизнес-стратегии для безопасности;
  • разработка правил и процедур безопасности;
  • создание культуры безопасности.

Исследователи Массачусетского технологического института хотели выяснить вариации восприятия безопасности в разных функциональных отделах организации и "расширенного предприятия" снизу доверху, от рядовых работников до руководителей высшего звена. Сотрудникам предлагалась простая анкета, заполнение которой занимало не более 15 минут. Респонденты должны были ответить на ряд вопросов о безопасности на предприятии:

  • Как решается в вашей организации конкретная проблема безопасности (могут ли сотрудники привести примеры решения таких проблем)?
  • Насколько важна эта проблема для вашей организации?
  • Каково положение дел с этой же проблемой у вашего бизнес-партнера?
  • Насколько важна эта проблема для бизнес-партнера?

После сбора анкет наступил главный этап исследования - анализ расхождений (gap analysis). Организация могла, к примеру, получить представление о том, насколько важной считает ту или иную проблему безопасности руководство и на каком этапе находится ее решение в настоящий момент. Расхождение между оценками руководства и текущим положением дел ясно показывает, где именно нужно совершенствовать правила безопасности и менять отношение сотрудников к установленным правилам.

Анализируя ответы сотрудников, организация может лучше понять свои потребности в сфере безопасности, внедрить более совершенные средства и правила защиты и обеспечить непрерывное совершенствование и повышение эффективности своих усилий в этой области. Поставщики и интеграторы систем безопасности могут воспользоваться этим исследованием для разработки более эффективных стратегий, продуктов и услуг.

Первые результаты исследования оказались весьма интересными. В сентябре этого года они обсуждались на конференции по стандартам безопасности в Бостоне.

Более подробную информацию можно получить на сайте MIT в разделе: http://web.mit.edu/smadnick/www/Projects/TSQM/TSQM%20Security%20Exec%20Summary.pdf.



# # #

О Cisco Systems

Cisco Systems, Inc. (NASDAQ: CSCO) - мировой лидер в области сетевых интернет-технологий. В 2004 году компания отметила 20-летие своей деятельности, неотъемлемыми атрибутами которой являются техническое новаторство, передовые позиции в отрасли и социальная ответственность. Информацию о решениях, технологиях и деятельности компании вы можете найти на www.cisco.ru и www.cisco.com. О текущих новостях Cisco читайте на http://www.cisco.com/web/RU/news/ и http://newsroom.cisco.com.